Kapittel 6. Informasjonssystemsikkerhet

§ 6-1. Skjermingsverdige informasjonssystemer

Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser.

Kongen kan gi forskrift om identifisering av skjermingsverdige informasjonssystemer.

Endret ved lov 20 juni 2023 nr. 77 (i kraft 1 juli 2023 iflg. res. 20 juni 2023 nr. 995).

§ 6-2. Beskyttelse av skjermingsverdige informasjonssystemer

Virksomheten skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer, slik at

a.
informasjonssystemene fungerer slik de skal
b.
uvedkommende ikke får tilgang til informasjonen som behandles i systemene
c.
informasjonen som behandles i systemene, ikke endres eller går tapt
d.
informasjonen som behandles i systemene, er tilgjengelig ved tjenstlig behov for tilgang.

Kongen kan gi forskrift om identifisering og beskyttelse av skjermingsverdige informasjonssystemer. I særlige tilfeller kan det i en slik forskrift gjøres unntak fra sikkerhetskrav som er fastsatt i eller i medhold av denne loven.

§ 6-3. Godkjenning av skjermingsverdige informasjonssystemer

Skjermingsverdige informasjonssystemer skal godkjennes av en godkjenningsmyndighet. Informasjonssystemer som skal behandle sikkerhetsgradert informasjon, skal godkjennes før de tas i bruk.

Kongen kan gi forskrift om godkjenning av skjermingsverdige informasjonssystemer, utpeking av godkjenningsmyndigheter og krav til leverandører.

§ 6-4. Overvåking av skjermingsverdige informasjonssystemer

Virksomheten skal kontinuerlig overvåke sine skjermingsverdige informasjonssystemer for å forebygge, avdekke og motvirke hendelser som kan skade nasjonale sikkerhetsinteresser. Hendelser som er relevante for sikkerhetsarbeidet, skal registreres.

I den grad formålet med overvåkingen krever det, skal sending av informasjon til, fra og innenfor skjermingsverdige informasjonssystemer registreres, lagres og analyseres.

Informasjonssystemer som behandler personopplysninger, skal bare overvåkes med de metodene og i det omfanget som formålet med overvåkingen krever.

Informasjon etter første og andre ledd kan lagres i opptil fem år. Lagrede personopplysninger kan bare benyttes i den grad formålet med overvåkingen krever det.

Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal ta seg av overvåkingen etter første og andre ledd for alle virksomhetene. Den virksomheten som gjennomfører overvåkingen, skal sikre at kravene til informasjonssikkerhet i § 5-2 følges.

Virksomheten skal se til at autoriserte brukere av informasjonssystemer som overvåkes, får vite hva som er formålet med behandlingen av personopplysningene og hvilke overvåkingstiltak som er iverksatt. De skal også få vite om personopplysningene blir utlevert og i så fall til hvem.

Kongen kan gi forskrift om overvåking av skjermingsverdige informasjonssystemer, blant annet om

a.
hva slags informasjon som kan eller skal registreres, lagres og analyseres i forbindelse med overvåkingen
b.
hvem som skal ha tilgang til informasjon som er registrert og lagret i forbindelse med overvåkingen
c.
hvordan tilgang til registrert eller lagret informasjon skal gis
d.
at informasjonen etter første og andre ledd skal ha en annen lagringstid enn fem år.

§ 6-5. Inntrengingstesting av skjermingsverdige informasjonssystemer

Virksomheten kan be sikkerhetsmyndigheten om å forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer. Formålet skal være å kontrollere om sikkerhetstiltakene er tilstrekkelige. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.

Dersom kontrollen innebærer behandling av personopplysninger, skal den ikke være mer omfattende enn det som formålet krever.

Informasjon som kontrollen gir tilgang til, kan bare benyttes til det som formålet med kontrollen krever. Når det ikke lenger er behov for informasjonen, skal den slettes. Kunnskap og erfaringer som sikkerhetsmyndigheten tilegner seg gjennom inntrengingstestingen, kan brukes til videreutvikling av sikkerhetsmyndighetens generelle sikkerhetsarbeid.

Sikkerhetsmyndigheten skal gi virksomheten en rapport om resultatet av kontrollen. Rapporten skal bare inneholde informasjon som kan bidra til å bedre virksomhetens sikkerhet.

Kongen kan gi forskrift om inntrenging i skjermingsverdige informasjonssystemer, og om at slik kontroll kan utføres av andre enn sikkerhetsmyndigheten.

§ 6-6. Kommunikasjons- og innholdskontroll av informasjonssystemer

Virksomheten kan be sikkerhetsmyndigheten kontrollere om virksomhetens informasjonssystemer behandler sikkerhetsgradert informasjon utover det systemets sikkerhetsgodkjenning tillater. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.

Sikkerhetsmyndigheten kan gjennomføre kontrollen ved å avlytte og avlese informasjon som behandles i eller sendes mellom informasjonssystemer.

Kontrollen skal ikke omfatte privat kommunikasjon eller kommunikasjon med virksomheter som ikke er omfattet av loven. Fanger kontrollen likevel opp slik kommunikasjon, skal kontrollen straks opphøre, og informasjon som kontrollen har gitt tilgang til, skal slettes.

Alle som får tilgang til informasjon som nevnt i tredje ledd i forbindelse med arbeid eller tjeneste for sikkerhetsmyndigheten, har taushetsplikt om innholdet.

Sikkerhetsmyndigheten skal informere virksomhetens ledelse om metodene som skal benyttes i kontrollen og sikkerhetsmyndighetens vurdering av risikoen for at kontrollen kan fange opp kommunikasjon som nevnt i tredje ledd. Dersom virksomhetens ledelse finner at hensynet til informasjonssystemsikkerheten ikke kan begrunne metodene og risikoen, skal kontrollen ikke utføres.

Informasjon som kontrollen gir tilgang til, kan benyttes bare til det som formålet med kontrollen krever. Når det ikke lenger er behov for informasjonen, skal den slettes. Kunnskap og erfaringer som sikkerhetsmyndigheten tilegner seg gjennom kontrollen, kan brukes til videreutvikling av sikkerhetsmyndighetens generelle sikkerhetsarbeid.

Sikkerhetsmyndigheten skal gi virksomheten en rapport om resultatet av kontrollen. Rapporten skal bare inneholde informasjon som kan bidra til å bedre virksomhetens sikkerhet.

Kongen kan gi forskrift om kommunikasjons- og innholdskontroll av informasjonssystemer, og om at slik kontroll kan utføres av andre enn sikkerhetsmyndigheten.